實(shí)訓(xùn)漏洞檢測工具M(jìn)BSA

1、實(shí)訓(xùn)5.2 本節(jié)實(shí)訓(xùn)與思考的目的是： (1) 了解漏洞檢測技術(shù)的基本概念和基本內(nèi)容。 學(xué)習(xí)在Windows環(huán)境中安裝和使用 MBSA軟件安全檢測技 1工具/準(zhǔn)備工作 在開始本實(shí)訓(xùn)之前，請認(rèn)真閱讀本課程的相關(guān)內(nèi)容。 需要準(zhǔn)備一臺(tái)運(yùn)行 Windows XP Professional操作系統(tǒng)的計(jì)算機(jī)，并且?guī)в袨g覽器，能夠訪問因特網(wǎng) 2實(shí)訓(xùn)內(nèi)容與步驟 (1)概念理解 1) 請通過查閱有關(guān)資料，簡單敘述什么是“漏洞掃描”？ 通常是指基于漏洞數(shù)據(jù)庫，通過掃描等手段，對指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性 進(jìn)行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(滲透攻擊)行為。 2) 漏洞檢測技術(shù)有基于應(yīng)用的檢測技術(shù)

2、、基于主機(jī)的檢測技術(shù) 、基于 目標(biāo)的檢測技術(shù) 和基于一網(wǎng)絡(luò) 的檢測技術(shù)等幾類。 3) 你目前經(jīng)常使用的殺病毒軟件是：360殺病毒軟件 _， 請分析該軟件是否具備漏洞檢測功能？如果有，請簡單介紹之。 有漏洞檢測功能，及時(shí)檢測修復(fù)可有效防止掛馬、數(shù)據(jù)泄露和破壞等嚴(yán)重問題。 (2)下載和安裝MBSA軟件 登錄因特網(wǎng)，可以在微軟的官方網(wǎng)站(security/tools/default.mspx)上下載到最新版的Microsoft基準(zhǔn)安 全分析器(MBSA ， Microsoft Baseline Security Analyzer)軟件，用來識別安全方面的常見配置錯(cuò)誤。 MBSA可以在 Windows

3、 2000 / XP/ Serve03等操作系統(tǒng)上運(yùn)行(不能用于掃描 Windows 9x/ME操作系 統(tǒng))。下載后，雙擊 MBSA軟件圖標(biāo)，開始執(zhí)行MBSA的安裝過程，如圖5.5所示。 圖5.5執(zhí)行安裝 按照“安裝向?qū)А钡奶崾具M(jìn)行操作，即可完成安裝過程。然后，在“開始” “所有程序”菜單中單擊 MBSA 軟件命令項(xiàng) (例如：Microsoft Baseline Security Analyzer 1.2.1)，或雙擊桌面上的MBSA 快捷圖標(biāo)， MBSA主窗口的左邊是 就可打開 MBSA主窗口。見圖 5.6所示。 系統(tǒng)在主窗口右下方提示MBSA已有新版本，單擊即可由其官方網(wǎng)站下載。 些功能鏈

4、接，點(diǎn)擊后可在右邊區(qū)域中看見對應(yīng)的信息 （3） 掃描一臺(tái)計(jì)算機(jī) 對一臺(tái)計(jì)算機(jī)進(jìn)行掃描是 MBSA 的基本功能，具體操作步驟如下： 步驟 1： 在 Windows 的“開始”菜單中單擊“控制面板”命令，再雙擊“系統(tǒng)”圖標(biāo)，打開“系統(tǒng)屬 性”對話框，并選擇其中的“計(jì)算機(jī)名”選項(xiàng)卡，如圖 5.7 所示，找到“完整的計(jì)算機(jī)名”和“工作組” 項(xiàng)。 圖 5.6 MBSA 主窗口 圖 5.7 “計(jì)算機(jī)名”窗口 請記錄： 你在本次實(shí)訓(xùn)中所使用的計(jì)算機(jī)系統(tǒng)是： 1）計(jì)算機(jī)名： 2）工作組名： 步驟 2： 返回 MBSA 窗口，單擊 MBSA 主窗口右下方的 Scan a computer 命令項(xiàng)，或者單擊主窗口

5、左側(cè) 的 Pick a computer to scan 命令項(xiàng)，將彈出 Pick a computer to scan 對話框 （見圖 5.8） 。 步驟 3： 在對話框中正確設(shè)置掃描參數(shù)。 1）設(shè)定要掃描的對象。為指定要掃描的計(jì)算機(jī)， MBSA 提供了兩種方法： 圖 5.8 “掃描一臺(tái)計(jì)算機(jī)”窗口 方法 1 ：在 Computer name 文本框中輸入計(jì)算機(jī)名稱，格式為“工作組名 計(jì)算機(jī)名”。默認(rèn)情況下， MBSA 會(huì)顯示本地計(jì)算機(jī)的名稱。 方法 2 ：在 IP address 文本框中輸入計(jì)算機(jī)的 IP 地址。 在 IP address 文本框中允許輸入在同一個(gè)網(wǎng)段中的任意 IP 地址

6、，但不能輸入跨網(wǎng)段的IP ，否則會(huì)提示 Computer not found （ 計(jì)算機(jī)沒有找到 ） 的信息。 2）設(shè)定安全報(bào)告的名稱格式。每次掃描成功后， MBSA 會(huì)將掃描結(jié)果以“安全報(bào)告”的形式自動(dòng)地保 存起來。 MBSA 允許用戶自行定義安全報(bào)告的文件名格式，只要在 Security report name 文本框中輸入文件格 式即可。 MBSA 提供兩種默認(rèn)的名稱格式：“ %D% - %C% （%T%） ” （域名 -計(jì)算機(jī)名 （日期戳 ） ） 和“ %D% -%IP% （%T%）”（域名-IP地址（日期戳）。 3）設(shè)定掃描中要檢測的項(xiàng)目。 MBSA 可以檢測包括 Office 、I

7、IS 等在內(nèi)的多種微軟軟件產(chǎn)品的漏洞。在 默認(rèn)情況下，無論計(jì)算機(jī)是否安裝了以上軟件， MBSA 都要檢測是否存在以上軟件的漏洞，這就影響了掃描 時(shí)間和速度。基于這點(diǎn)考慮， MBSA 提供了讓用戶自主選擇檢測項(xiàng)目的功能。只要用戶選中（或取消 ） Options （ 選項(xiàng) ） 中某個(gè)復(fù)選項(xiàng)，就可讓 MBSA 檢測 （或忽略 ） 該項(xiàng)目。 允許用戶自主選擇的項(xiàng)目有： Check for Windows vulnerabilities （ 檢查 Windows 的漏洞 ） Check for weak passwords （ 檢查密碼的安全性 ） Check for IIS vulnerabiliti

8、es （ 檢查 IIS 系統(tǒng)的漏洞 ） Check for SQL vulnerabilities （ 檢查 SQL Server 的漏洞 ） 等 4 項(xiàng)，而 MBSA 會(huì)強(qiáng)制掃描其他項(xiàng)目（如： Office 軟件的漏洞等 ） 。 4）設(shè)定安全漏洞清單的下載途徑。 MBSA 的工作原理是：以一份包含了所有已發(fā)現(xiàn)的漏洞的詳細(xì)信息 （ 如：什么軟件隱含漏洞、漏洞存在的具體位置、漏洞的嚴(yán)重級別等） 的安全漏洞清單為藍(lán)本，全面掃描計(jì) 算機(jī)，將計(jì)算機(jī)上安裝的所有軟件與安全漏洞清單進(jìn)行對比。如果發(fā)現(xiàn)某個(gè)漏洞， MBSA 就會(huì)將其寫入到安 全報(bào)告中。因此，要想讓 MBSA 準(zhǔn)確地檢測出計(jì)算機(jī)上是否存在漏洞，

9、安全漏洞清單的內(nèi)容是否為最新就 至關(guān)重要了。 由于新的漏洞不斷被發(fā)現(xiàn)，所以我們要像更新防病毒軟件的病毒庫一樣，及時(shí)更新安全漏洞清單。 MBSA 提供了兩種更新方法： 1） 連入因特網(wǎng)的計(jì)算機(jī)用戶可以從微軟官方網(wǎng)站上下載。微軟會(huì)在其官方網(wǎng)站上及時(shí)發(fā)布最新的安全 漏洞清單，所以 MBSA 被默認(rèn)設(shè)置為每一次掃描時(shí)自動(dòng)鏈接到微軟官方網(wǎng)站下載最新的安全漏洞清單。 如果用戶已經(jīng)下載了最新的安全漏洞清單，則可取消“ Check for security updates ”復(fù)選項(xiàng)。否則應(yīng)該選 中此復(fù)選項(xiàng)，以確保安全漏洞清單的內(nèi)容是最新的。 2）從SUS （Software Update Services,軟

10、件升級服務(wù)）服務(wù)器上下載。有些局域網(wǎng)中架設(shè)了SUS服務(wù) 器，所以此類用戶可以選擇此方法下載最新的安全漏洞清單，只要選中Use SUS Server 復(fù)選框，并在其下的 文本框中輸入 SUS 的地址即可。 步驟4：用戶根據(jù)自身情況設(shè)置好各項(xiàng)參數(shù)后，單擊Start Scan菜單，MBSA開始對指定的計(jì)算機(jī)進(jìn)行掃 描。掃描過程中會(huì)顯示一個(gè)進(jìn)度條。 步驟5 :掃描完成后，MBSA 會(huì)將掃描的結(jié)果以安全報(bào)告的形式保存到“ XDocume nts and SecuritySca ns （X :指 Win dows的系統(tǒng)分區(qū)符，user name:是操作 MBSA的用戶名）文件夾 中。 步驟 6：同時(shí)， M

11、BSA 還會(huì)自動(dòng)彈出 View security report 對話窗 （如圖 5.9） ，顯示剛完成的安全報(bào)告的 內(nèi)容。 用戶可以根據(jù)安全報(bào)告的 Score 列中不同顏色的圖標(biāo)來簡單區(qū)分被掃描的計(jì)算機(jī)上哪些方面存在漏洞， 哪些方面需要改進(jìn)，如： 綠色的“ “圖標(biāo)表示該項(xiàng)目已經(jīng)通過檢測。 紅色（或黃色）的“ x”圖標(biāo)表示該項(xiàng)目沒有通過檢測，即存在漏洞或安全隱患。 藍(lán)色的“ *”圖標(biāo)表示該項(xiàng)目雖然通過了檢測但可以進(jìn)行優(yōu)化，或者是由于某種原因MBSA 跳過了其 中的某項(xiàng)檢測。 白色的“ i”圖標(biāo)表示該項(xiàng)目雖然沒有通過檢測，但問題不很嚴(yán)重，只要進(jìn)行簡單的修改即可。 但是，更好的方法是查看檢測項(xiàng)目的

12、Result 列中是否含有 How to correct this （如何修正它 ） 選項(xiàng)。只要 此選項(xiàng)存在，用戶就應(yīng)該單擊該選項(xiàng)。然后根據(jù)提供的解決方法，或是下載相應(yīng)的補(bǔ)丁程序，或是修改相關(guān) 的設(shè)置，修正存在的問題。 圖 5.9 掃描安全報(bào)告 請分析: 在你完成的 MBSA 安全漏洞掃描中，不同圖標(biāo)項(xiàng)目的個(gè)數(shù)分別是: 1）綠色“ “圖標(biāo)項(xiàng)目：個(gè)； 2）紅色（或黃色）“X圖標(biāo)項(xiàng)目 個(gè); 3）藍(lán)色“ *”圖標(biāo)項(xiàng)目: 個(gè)； 4）白色“ i”圖標(biāo)項(xiàng)目 個(gè)。 （4） 掃描多臺(tái)計(jì)算機(jī) 此項(xiàng)功能是“掃描一臺(tái)計(jì)算機(jī)”功能的延伸，只是將掃描對象擴(kuò)大到網(wǎng)絡(luò)中的一個(gè)域或IP 地址段，其 工作原理與“掃描一臺(tái)計(jì)算機(jī)

13、”功能相同，即：以安全漏洞清單為藍(lán)本，對指定域（或IP地址段）中的所有 計(jì)算機(jī)逐一進(jìn)行掃描。 具體的操作步驟如下： 步驟 1 :單擊 MBSA 主窗口中的 Scan more than one computer （或 Pick multiple computer to scan） 項(xiàng)，將彈 出 Pick multiple computer to scan 對話框 （見圖 5.10） 。 圖 5.10 “掃描多臺(tái)計(jì)算機(jī)”窗口 在此， Security report name 和 Options 處的設(shè)置可以參照上面操作進(jìn)行。 不同的是，在“指定要掃描的對象”方面，要在 Domain name 文

14、本框中輸入要被掃描的域的名稱，或在 IP address range文本框中輸入要被掃描的IP地址范圍，就能讓 MBSA掃描某個(gè)域（或IP地址段）中的所有 計(jì)算機(jī)。 注意，無論域 （或 IP 地址段 ） 中的所有計(jì)算機(jī)安裝的軟件是否相同， MBSA 都將依據(jù) Options 處的設(shè)置 “一視同仁”地掃描每臺(tái)計(jì)算機(jī)。 步驟2 :設(shè)定好各項(xiàng)參數(shù)后單擊Start Scan菜單，MBSA將依次掃描域 （或IP地址段）中的每臺(tái)計(jì)算機(jī)。 完成掃描所需的時(shí)間與被掃描的計(jì)算機(jī)數(shù)量和設(shè)置的掃描項(xiàng)目有關(guān)。 步驟 3: 與“掃描一臺(tái)計(jì)算機(jī)”功能不同的是，掃描結(jié)束后，將彈出Unable to scan all com

15、puters 對話 窗，在其中將列舉沒有掃描成功的計(jì)算機(jī)名（或 IP 地址） 及原因。掃描失敗的原因有兩種: 1）被掃描的計(jì)算機(jī)上的用戶不是系統(tǒng)管理員。 造成這種情況出現(xiàn)的原因主要有: 用戶沒有以 Administrator 的用戶名登錄操作 MBSA 的計(jì)算機(jī)上；或者，被掃描的計(jì)算機(jī)設(shè)置了登錄密碼。 2）被掃描的計(jì)算機(jī)不是Windows 2000 / XP/ Ser203系統(tǒng)，或者不是工作站。造成這種情況岀現(xiàn)的原 因是:被掃描的計(jì)算機(jī)可能安裝的是 Windows 9X/ME 操作系統(tǒng)，或者安裝了非 Windows 操作系統(tǒng)，如 Linux 等；或者，被掃描的根本就不是計(jì)算機(jī)，可能是其他網(wǎng)絡(luò)設(shè)

16、備，如路由器等。 步驟 4: 在 Unable to scan all computers 對話窗的底部還會(huì)顯示以下選項(xiàng)之一，以引導(dǎo)用戶進(jìn)行下一步操 作: 1）若顯示 Continue 選項(xiàng):說明此次掃描中沒有一臺(tái)計(jì)算機(jī)掃描成功。單擊此菜單后將返回到MBSA 的 主窗口。 2）若顯示 Pick a security report to view 選項(xiàng):說明此次掃描中至少有一臺(tái)計(jì)算機(jī)成功的完成掃描并生成 了安全報(bào)告。單擊此菜單后將彈岀 Pick a security report to view 對話窗。此時(shí)， MBSA 將顯示所有掃描成功的 計(jì)算機(jī)的安全報(bào)告，供用戶選擇查看其詳細(xì)內(nèi)容。 此時(shí)，

17、無論掃描成功的計(jì)算機(jī)是幾臺(tái)， MBSA 都不會(huì)生成綜合性的安全報(bào)告，而是為每一臺(tái)計(jì)算機(jī)生成 各自單獨(dú)的安全報(bào)告。 （5） 選擇 /查看安全報(bào)告 單擊主窗口右下方的 View existing security reports （ 或單擊主窗口右側(cè)的 Pick a security report to view） 選 項(xiàng)，將彈岀 Pick a security report to view 窗口 （如圖 5.11） 。 在此窗口中， MBSA 列岀了已有的所有安全報(bào)告清單 （包括安全報(bào)告名、生成日期等信息 ），單擊安全 報(bào)告名就可查看其詳細(xì)內(nèi)容。安全報(bào)告的具體內(nèi)容、格式、操作方法與前述相同，可以

18、參照操作。 （6） 命令行用法與其他 MBSA 不但能以 GUI （圖形用戶界面 ） 運(yùn)行，還能在命令提示符下運(yùn)行，即執(zhí)行其安裝目錄下的 mbsacli.exe 文件。 mbsacli.exe 文件不僅提供了豐富、靈活的參數(shù)，而且還支持兩種語法結(jié)構(gòu):一種是MBSA 標(biāo)準(zhǔn)的命令行語法結(jié)構(gòu)，即“ mbsacli 參數(shù)”格式。在命令提示符下運(yùn)行 mbsacli / ？命令可以顯示詳細(xì)的語法 信息；另一種是模擬補(bǔ)丁檢查工具 HFNetChk 的命令行語法結(jié)構(gòu)，即“ mbsacli /hf 參數(shù)”格式。運(yùn)行 mbsacli /hf / ？令可以顯示詳細(xì)的語法信息。 mbsacli.exe還能用于各種腳本環(huán)境中，如：命令腳本（.bat或.cmd文件）、WSH腳本（.vbs或.js文件） 等。通過這些腳本的調(diào)用，結(jié)合 Windows 系統(tǒng)的其他功能 （如:“計(jì)劃任務(wù)”功能 ） 就能實(shí)現(xiàn)對計(jì)算機(jī)的靈 活掃描。 此外，在 MBSA 的安裝目錄下還有兩個(gè)文本文件，編輯它們能定制MBSA 的掃描過程和方式： 圖 5.11 查看安全報(bào)告 1）services.txt 文件：包含了 MBSA 要掃描的服務(wù)，默認(rèn)值為 MSFTPSVC 、 TlntSvr 、 W3SVC 和 SMTPSVC 服務(wù)。添加 （或刪除 ） 服務(wù)名可以讓 MBSA 掃描 （或忽略 ） 對該服務(wù)的檢測。 2）no